在Firewall Management Center 7.4中配置集群可維護性改進
目錄
簡介
本文檔介紹如何使用FMC 7.4中的可維護性改進
最新消息
- 叢集控制連結(CCL)連結診斷並協助確保設定正確。
- 現在,可以在防火牆管理中心(FMC)中看到叢集Lina CLI。
- 產生疑難排解
- 現在可針對叢集中的所有裝置一次產生所有裝置。
- 如果節點無法加入叢集,則會自動產生疑難排解。
- 透過Devices > Cluster/Device頁籤對生成和導航進行故障排除。
必要條件、支援的平台、授權
最低軟體和硬體平台
| 應用程式與最低版本 |
受管裝置 |
需要支援的最低受管裝置版本 |
備註 |
| 安全防火牆7.4 |
所有這些都支援FTD上的集群 只有「Generation of Troubleshoots」增強功能要求FTD版本為7.4及更高版本 |
· FMC內建+ FMC REST API · 雲交付的FMC |
這是FMC功能,因此配置可以應用到FMC 7.4可以管理的任何裝置。 |
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 運行7.4的思科防火牆管理中心(FMC)
- 運行7.4或更高版本的Cisco Firepower威脅防禦(FTD)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
CCL連結診斷
叢集摘要頁面中的叢集控制連結介面MTU警告
問題
- 集群要求集群控制鏈路的MTU高於資料介面。
- 您通常不會將MTU設定為足夠高的值,這會導致可靠性問題。
- 建議根據平台,CCL MTU必須比最大資料介面MTU大100或154位元組,才能在節點間同步集群狀態。
CCL MTU = (最大資料介面MTU) + 100 |154
例如,若是FTDv裝置,如果1700位元組是最大資料介面MTU,則CCL介面MTU的值將設定為1854:
1854 = 1700 + 154
每個平台的MTU大小建議
| 平台 |
最大資料介面MTU示例 |
新增 |
CCL連結MTU的建議設定總數 |
| 安全FW 3100系列 |
1700 |
100 |
1800 |
| FTDv |
1700 |
154 |
1854 |
解決方案
- 建立叢集時,CCL連結的MTU值會自動設定為介面上的建議值。
使交換機端的配置與此值匹配。 - 警告訊息範例:
集群要求集群控制鏈路具有更高的MTU。當前最大資料介面MTU為1500位元組;推薦的集群控制鏈路MTU為1654位元組或更高。 繼續之前,請確保連線的交換機與資料介面的MTU和集群控制鏈路匹配,否則集群形成將失敗。 - 如果CCL介面的交換機端配置與此值不匹配,則裝置無法加入集群。
集群即時狀態中的CCL Ping測試
檢查CCL連線
- 需要使用者調配來驗證具有CCL MTU資料包大小的CCL連線
解決方案
為公共雲增加了CCL MTU大小
AWS和Azure群集MTU值
對於7.4公共雲FTDv集群,有新的建議CCL和資料介面MTU值。
| 7.3中建議的CCL MTU |
建議 7.4中的CCL MTU |
7.3中的建議資料介面MTU |
建議 7.4中的資料介面MTU |
|
| Azure NLB群集 |
1554 |
1454 |
1400 |
1300 |
| Azure GWLB群集 |
1554 |
1454 |
1454 |
1374 |
| AWS GWLB集群 |
1960 |
1980 |
1806 |
1826 |
將叢集升級到7.4版本後,FMC會將CCL和資料介面MTU更新為建議值。
FMC中提供的CLI
Device Lina CLI Prompt Available in Device/Cluster頁籤
從FMC運行集群Lina CLI
- 現在可以從FMC執行群集LINA排除CLI故障。
預設情況下顯示的常用CLI
預先定義的叢集CLI
- 預設情況下運行的CLI包括:
show running-config cluster
show cluster info
show cluster info health
show cluster info transport cp
顯示版本
show asp drop
顯示計數器
show arp
show int ip brief
顯示區塊
show cpu detailed
show interface <ccl_interface>
ping <ccl_ip> size <ccl_mtu> repeat 2
手動輸入可用的命令
產生故障排除
節點加入失敗時自動產生疑難排解
- 當節點無法加入叢集時,會自動產生裝置疑難排解。
- 通知會顯示在「工作管理員」中。
Device和Cluster頁籤中提供的Troubleshoot Trigger and Download按鈕
更輕鬆地生成群集故障排除
產生叢集疑難排解
產生節點(裝置)疑難排解
叢集疑難排解產生完成通知
作業管理員會顯示叢集中每個節點的疑難排解產生進度。等候,再按一下Download。
問答
問:在Azure中,MTU的AWS中它有所減少,但增加了?
答:對於公共雲中的新MTU值,在Azure中,建議的MTU會減少,但在AWS中會增加。
問:在升級過程中,如果MTU自動更改-是否有Syslog條目?
答:否,目前沒有建立任何Syslog專案。如果需要的話,我們可以重新考慮。
問:每個節點的MTU值顯示於何處?
答:在集群頁籤的「裝置管理」(device management) >「介面」(interfaces)頁面上,將MTU值顯示為列。
問:是否因為未設定交換機或未設定其他節點而顯示此故障?
答:不,它是一個警告消息,作為警告,一直向使用者顯示。
問:哪個命令- show cluster -顯示MTU大小?
答:CCL ping處於預設狀態,顯示在CLI預設值中。
問:對於AWS,我們是否可以記錄如何增加交換機上的MTU的步驟?
答:技術酒吧需要檢查。
問:對於硬體-您只列出了3100系列-關於4K/9K/2K/1K呢?
答:僅在9300、4100、3100和虛擬上進行集群。3100可以從FMC完成,但4100和9300群集在機箱管理器中完成,而不是FMC。
問:是否必須從FMC進行部署,才能使更改在裝置升級後生效?
答:是,升級後需要部署。您必須使用建議的MTU值。
問:我們是否向使用者提供任何警告消息,說明MTU已更改,就像FTD位於GRE隧道生成的路徑中間,使用者是否看到隧道擺動或關閉?
答:在文檔中。可以處理警告訊息。節點將調整為控制節點。必須根據新值調整開關。在升級控制節點後變更值。MTU值由控制元件傳送。
問:如果升級後我們更改MTU,是否重新啟動FTD裝置?
答:當MTU值變更時,不會在升級的FTD上觸發明確重新開機。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
|
2.0
|
2024年7月17日
|
增加了Alt文本。已更新格式。
|
|
1.0
|
2024年7月17日
|
初始版本
|
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
22-Jul-2024 |
初始版本 |
意見